Contact
Line : comsiam
Active Directory Replication เป็นกระบวนการสำคัญที่ทำให้ Domain Controller ทุกตัวภายในองค์กรมีข้อมูลเหมือนกัน ไม่ว่าจะเป็น User Account, Group Policy, Computer Account, Security Policy และข้อมูลต่าง ๆ ภายใน Active Directory
เมื่อเกิด AD Replication Error ข้อมูลระหว่าง Domain Controller จะเริ่มไม่ตรงกัน ส่งผลให้เกิดปัญหาตามมา เช่น Login ไม่ได้, GPO ไม่ทำงาน, User ใหม่ไม่ปรากฏในบาง Site หรือ SYSVOL ไม่ Sync
บทความนี้จะช่วยให้คุณวิเคราะห์และแก้ไข AD Replication Error บน Windows Server 2025 อย่างเป็นระบบ
① AD Replication คืออะไร
Active Directory Replication คือกระบวนการที่ Domain Controller แลกเปลี่ยนข้อมูลกัน
ตัวอย่างเช่น
- สร้าง User ใหม่
- เปลี่ยนรหัสผ่าน
- เพิ่ม Group
- แก้ไข Policy
ข้อมูลเหล่านี้จะถูกส่งไปยัง Domain Controller ตัวอื่นผ่าน Replication
หาก Replication หยุดทำงาน
ข้อมูลจะไม่ตรงกันทันที
② อาการที่บ่งบอกว่า Replication มีปัญหา
อาการที่พบบ่อย ได้แก่
- User Login ไม่ได้บาง Site
- GPO ไม่ตรงกัน
- SYSVOL ไม่ Sync
- Password เปลี่ยนแล้วใช้ไม่ได้
- User ใหม่ไม่ปรากฏใน DC อื่น
- Event Log แจ้ง Replication Error
อาการเหล่านี้มักเป็นสัญญาณเตือนของปัญหา Replication
③ ตรวจสอบภาพรวมด้วย Repadmin
คำสั่งแรกที่ควรใช้คือ
repadmin /replsummary
คำสั่งนี้จะแสดง
- จำนวน Error
- Domain Controller ที่มีปัญหา
- ระยะเวลาที่ไม่สามารถ Replicate ได้
ถือเป็นเครื่องมือหลักของผู้ดูแล Active Directory
④ ตรวจสอบรายละเอียดการ Replication
ใช้คำสั่ง
repadmin /showrepl
เพื่อดู
- Source DC
- Destination DC
- Error Message
- Last Successful Replication
ช่วยระบุจุดที่มีปัญหาได้อย่างแม่นยำ
⑤ ตรวจสอบ DNS
DNS เป็นสาเหตุอันดับหนึ่งของ AD Replication Error
ทดสอบ
nslookup DC01
nslookup DC02
และ
ping DC01
ping DC02
Domain Controller ทุกตัวต้องหาอีกฝั่งเจอ
ทั้งชื่อและ IP Address
⑥ ตรวจสอบ Active Directory Sites and Services
เปิด
Active Directory Sites and Services
ตรวจสอบ
- Site Link
- Replication Connection
- Subnet Configuration
การตั้งค่าที่ผิดพลาดอาจทำให้ Replication หยุดทำงาน
⑦ ตรวจสอบเวลาในระบบ
Kerberos ต้องการเวลาที่ตรงกัน
ตรวจสอบ
w32tm /query /status
หากเวลาคลาดเคลื่อนมาก
Replication อาจถูกปฏิเสธ
⑧ ตรวจสอบ Firewall
AD Replication ใช้หลาย Port
เช่น
TCP 135
TCP 389
TCP 445
TCP 636
รวมถึง Dynamic RPC Port
Firewall ที่ Block Port เหล่านี้จะทำให้ Replication ล้มเหลว
⑨ ตรวจสอบ Event Viewer
เปิด
Event Viewer
Directory Service
ค้นหา Event สำคัญ เช่น
- 1311
- 1865
- 2042
- 2087
- 2088
Event เหล่านี้ช่วยระบุสาเหตุได้อย่างละเอียด
⑩ ตรวจสอบ DCDIAG
ใช้คำสั่ง
dcdiag /v
หรือ
dcdiag /test:replications
ผลลัพธ์จะช่วยระบุ
- DNS Problem
- Replication Problem
- Authentication Problem
ได้อย่างชัดเจน
⑪ บังคับ Replication
หากต้องการทดสอบ
ใช้คำสั่ง
repadmin /syncall /AdeP
เพื่อบังคับ Replication ทุก Partition
หากเกิด Error จะเห็นข้อความทันที
⑫ ตรวจสอบ USN Rollback
ในกรณีที่มี
- Snapshot Restore
- VM Restore
- Backup Restore
อาจเกิด
USN Rollback
ซึ่งเป็นปัญหาร้ายแรงของ Active Directory
ต้องแก้ไขตามขั้นตอนของ Microsoft อย่างระมัดระวัง
⑬ ตรวจสอบ SYSVOL ร่วมด้วย
Active Directory และ SYSVOL มักมีปัญหาควบคู่กัน
ตรวจสอบ
dfsrdiag replicationstate
และ
dcdiag /test:sysvolcheck
หาก SYSVOL ไม่ Sync
GPO จะได้รับผลกระทบโดยตรง
⑭ วิธีป้องกัน AD Replication Error
แนวทางที่แนะนำ
- ใช้ DNS ภายในองค์กรเท่านั้น
- ตรวจสอบ Repadmin ทุกสัปดาห์
- หลีกเลี่ยง Snapshot Domain Controller
- ตรวจสอบ Event Viewer สม่ำเสมอ
- ตรวจสอบ Time Synchronization
- ใช้ Monitoring System
ทีมงาน comsiam มักแนะนำให้ตรวจสอบ Replication Health เป็นประจำ เพราะปัญหา Replication ที่ปล่อยทิ้งไว้นานอาจนำไปสู่ปัญหา Active Directory ที่ซับซ้อนและแก้ไขยากขึ้นมาก
⑮ สรุป
AD Replication Error บน Windows Server 2025 มักเกี่ยวข้องกับ DNS, Network, Firewall, Time Synchronization หรือการตั้งค่า Active Directory Site ที่ผิดพลาด การใช้ Repadmin, DCDIAG และ Event Viewer จะช่วยให้หาสาเหตุได้อย่างรวดเร็ว
สำหรับองค์กรที่มีหลาย Domain Controller comsiam แนะนำให้มีการตรวจสอบ Replication Health อย่างสม่ำเสมอ เพราะ Active Directory ที่ข้อมูลไม่ตรงกันสามารถส่งผลกระทบต่อทั้งระบบ Domain ได้ในวงกว้าง
คำถามชวนคิด
หากคุณสร้าง User ใหม่บน Domain Controller ตัวหนึ่ง แล้วอีก Site มองไม่เห็น User นั้นภายในหลายชั่วโมง คุณแน่ใจหรือไม่ว่า Active Directory Replication ของคุณยังทำงานปกติอยู่?
